计算机导论 课件 第13、14章 计算机编程、计算机安全

第13章计算机编程主要内容编程基础知识过程化编程面向对象编程面向方面编程可适应和敏捷软件开发编程与编程语言计算机编程包括程序的设计、编码、测试和程序文档编写。编程语言是一套关键字和语法规则，旨在生成计算机可以理解和执行的指令。如数据库的SQL就是编程语言的一种，其他比较流行的编程语言如Java、C++、Python、C#等。在编程语言编写的程序中，每行代码都由关键字和参数按照语法规则组合在一起。关键字是由对应编程语言的编译器或解释器预先定义的，每个关键字都有其特殊的含义。编程语言2017年年年度编程语言排行榜（数据来源：IEEESpectrum）编程语言俗称计算机语言，是一套关键字和语法规则，旨在生成计算机可以理解和执行的指令。编程语言的分类编程语言可以按照多种方式进行分类：1.低级语言和高级语言低级语言直接为最底层硬件编写指令，可分为机器语言和汇编语言。机器语言完全由0、1二进制字符串组成，可直接交由处理器处理；汇编语言稍微简便一些——它可以使用处理器提供的特有指令（如移位操作、简单的加减法）。高级语言使用了符合人类语言的语法和关键字，通过使用容易理解的命令来代替难以理解的二进制代码或汇编代码——这一工作交由编译器或解释器进行。编程语言的分类2.代次（标准并不唯一）第一代编程语言（1GL，1stGenerationLanguage），即机器语言。第二代编程语言（2GL），即汇编语言。第三代编程语言（3GL），高级程序设计语言，如Fortran、Pascal、C、C++、Java。第四代编程语言（4GL），更接近人类语言的高级程序设计语言，如SQL。第五代编程语言（5GL）目前有两种定义，一种是可视化编程语言，即利用可视化或图形化接口编程；另一种是自然语言，即最接近日常生活用语的编程语言，LISP和Prolog正在向这方面靠近。编程语言的分类3.编程范例（编程语言是如何将任务概念化和结构化的）过程化编程。强调时间上的线性，按照程序执行过程按部就班地编写代码。面向对象编程（ObjectOrientedProgramming，简称OOP）。针对程序处理过程的实体及其属性和行为进行抽象封装，以获得更加清晰、高效的逻辑单元划分，程序由一系列的对象和方法构成。说明性编程。专注于如何使用事实和规则，用人类易于理解的方式描述问题。事件驱动编程。用户的某种行为会触发相应的事件处理方法面向方面编程（AspectOrientedProgramming，简称AOP）。针对程序处理过程中的切面进行提取。程序设计大多数需要通过计算机程序求解的问题都是模糊的，即用户一般只提出需求，而不关心如何达成需求。因此在程序编码前，软件工程师或计算机程序员需要先将需求抽象成可以用编程语言编写的逻辑构造——这就是程序设计。在程序设计阶段，首先需要定义问题陈述，即明确问题的范围、清楚指定已知信息，并指定问题什么时候算是已经解决。明确问题的范围可以减少程序需要考虑的情况数。已知信息在程序中通常用变量或常量表示。大多数问题解决的标志是程序输出一个结果。程序设计在问题陈述定义好后，还需要选择一种软件开发方法，目前常用的软件开发方法有预测方法和敏捷方法。预测方法在设计阶段需要完成类似于信息系统分析与设计中的软件设计说明书，说明书中会指定人软件每个模块的逻辑流程额，编程人员按照说明书中的流程即可按部就班地编写程序。敏捷方法专注于灵活开发的过程，它的软件设计说明书是随着项目开发进度不断发展的。程序编码编程人员在编码时需要借助一些“载体”，如：文本编辑器。如Windows的“记事本”。程序编辑器。可以理解为是专门用来进行代码编写的文本编辑器，它们提供了辅助编程的工具，如将关键字用彩色显示、自动补全、查找替换、格式化代码等。可视化开发环境（VisualDevelopmentEnvironment，简称VDE）。提供了可视化编程的工具，编程人员可以在其中拖动代表对象的控件并设置其属性。程序编码可视化开发环境程序测试和文档当代码编写完毕后，编程人员需要进行测试以确保程序没有bug（即错误）。bug大体可分为以下几类：语法错误，即由于编码时的手误，或对于编程语言的不够熟悉，而导致程序无法通过编译。运行时错误，即程序在运行时突然出现的停止工作现象。逻辑错误，即程序可以正常运行，但输出的结果却是错的。当发现bug时，编程人员可以使用调试器来逐行检查程序。通过调试器可以检查程序执行到特定步骤时的变量值。编程工具文本编辑器、程序编辑器都属于编程工具，但在一般情况下，编程人员不会只使用它们进行编程工作，而是趋向于使用包含了大量编程工具的SDK或IDE。SDK（SoftwareDevelopmentKit，软件开发工具包）是指某种语言特有的工具集。SDK通常包含编译器、语言文档和安装说明，一些SDK还会包含编辑器、调试器、图形化用户界面设计和API（应用程序编程接口）。IDE（IntegratedDevelopmentEnvironment，集成开发环境）可以理解为是SDK的一种，它将多种开发工具整合到了一个统一的应用程序中（如Eclipse、MicrosoftVisualStudio），使它们拥有统一的菜单和控件集。编译器和解释器解释器在程序运行时,一次只会转换并执行一条语句。在一条语句被执行后,解释器才会转换到下一条语句,如此循环直到程序结束。这种方式效率较低,应用程序不能离开其解释器,但比较灵活,可以动态地调整、修改应用程序。使用编译器生成的目标程序可以脱离其语言环境独立运行,使用比较方便、效率较高。但如果需要修改应用程序,则需要先修改其源代码,再重新编译。APIAPI是指ApplicationProgramInterface(应用程序接口)或者ApplicationProgrammingInterface(应用编程程序接口)的缩写。API是程序员在自己编写的程序中可以访问的一组应用程序或操作系统的功能。过程化编程过程化编程编写的程序都有一个起始点和终结点，从开始到结束的流程基本上是线性的、按部就班的。过程化编程非常适合于编写不太复杂的算法——算法是指能够写下来并能够实现的用以达成需求的有限长步骤列表。如果输入是正确的，设计的算法是正确的，那么输出的结果就是正确的。表达算法算法并不依赖于任何编程语言，因此表达算法也不太适合用某种编程语言进行——不熟悉这种编程语言的人就很难理解算法了。表达算法可以用一种通用的格式进行，如伪代码。伪代码是一种类似自然语言的算法描述语言，它并没有统一的格式要求，只要能够清晰地表述出算法流程即可。伪代码结构清晰、代码简单、可读性好——使用伪代码的目的就是使被描述的算法可以容易地以任何一种编程语言实现。用伪代码表达冒泡排序算法顺序、选择和循环控制在通常情况下，程序是按从上到下的顺序按部就班地执行命令的，但也可以应用一些控制结构以改变程序对命令的执行顺序：顺序控制结构。可以通过调用函数将程序执行转移至函数体，函数执行完后再返回到主要的顺序执行路径。选择控制结构。可以使用if…else…或switch结构在程序执行时进行动态的分支判断。循环控制结构。可以使用do…while、while…、for…等多种命令控制循环。一个算法通常是由许多的顺序、选择与循环控制结构组成的，合理使用控制结构可以完美、高效地实现算法逻辑。顺序、选择和循环控制选择控制结构的流程图循环控制结构的流程图过程化语言及应用最初的编程语言都是过程化语言，常见的过程化语言如Fortran、Pascal、C等。 过程化编程最适合于可以通过按部就班的步骤来解决的问题——这正符合过程化编程的逻辑。过程化编程可以开发出运行速度快、系统资源利用效率高的程序；且过程化编程的灵活性很高，可以同时处理一类的问题，而只做少许修改甚至无需修改。过程化编程的缺点在于它并不适于非结构化问题或非常复杂的算法。面向对象编程面向对象编程将问题的解决方案抽象成一些对象的交互。在面向对象编程中常使用类和对象的概念：对象是一个抽象的或现实世界中的实体，是类的具体实例；而类则是具有相似特征的一组对象的抽象。例如，某个具体学生“张三”是学生类的一个实例，“张三”在这里就是一个对象。对象和类使用UML绘制的类图使用UML绘制的对象图封装可以对类属性设置作用域，如公有或私有等，公有属性可以被任何类访问，而私有属性只能被定义该属性的类访问。这种通过设置作用域而隐藏一部分类的细节的方式称为封装，封装是面向对象的特征之一。继承面向对象的另一特征是继承。继承是指将某些特征从一个类传递到其他类，其中被继承属性的类被称为超类，继承属性的类被称为子类。继承赋予了类很大的灵活性——如果多个类具有一些同样的属性，则可以把这些属性抽象为一个超类。继承继承示例方法、消息和多态面向对象编程中的方法和消息与过程化编程顺序控制结构中的函数类似。简单来说，方法就相当于函数，而消息相当于函数调用语句，用以激活方法。方法不仅支持继承——子类可以拥有超类的公有方法，还支持多态。多态是面向对象的第三个特征，它指的是在子类中重新定义方法的能力——即在子类中可以重写继承自超类的方法。方法、消息和多态多态示例类中的方法示例面向对象的程序结构在面向对象程序中，类只是一个模板，不代表任何实例。要使用类，需要通过主方法来创建类的对象，并进行对象间的操作。面向对象程序执行时，会寻找名为main()的主方法，并按部就班地执行其中的命令。面向对象的语言及应用面向对象的编程语言大多数也支持过程化的技术，因此这些语言也称混合语言，如C++、C#（读作CSharp）、Objective-C、Java等。面向对象编程适合于大规模软件的制作——如果使用过程化编程，这些软件的逻辑会变得非常复杂，甚至使得编程工作寸步难行；而面向对象编程则可以有效地梳理软件逻辑。面向对象编程与人感知世界的方式很相似，因此使用面向对象编程有助于设想问题的解决方案。面向对象的缺陷在于程序运行效率较低——由于有继承和多态的特性，一些调用需要在运行时才能判断。面向方面编程简介面向方面编程（AspectOrientedProgramming，简称AOP）是一种在总体软件程序设计基础上，继续把其分化为更小更可操控的部分，以最大限度地减少程序设计中功能上的重复性的程序设计方法。在过程化编程或面向对象编程中，一些模块（如安全检查、异常处理或打开一个数据库连接）会穿插分散于程序代码的成百上千个位置，在需要时难以修改。面向方面编程则不同，它能把这些功能模块封装在“方面”中，需要时不用重复代码而只使用“方面”即可——这能有效减少程序的冗余，提高软件的质量，并降低IT开发和维护的费用。可适应和敏捷软件开发简介可适应软件开发是指在程序开发过程中旨在使开发更快、更有效，并集中于适应程序的方法论。可适应软件开发的典型特征是迭代开发（将一个项目分成一系列的小项目）或增量开发（先开发主要功能模块，再开发次要功能模块，逐步完善，最终开发出符合需求的软件产品）。最新的可适应软件开发的方法之一是敏捷软件开发（AgileSoftwareDevelopment，简称ASD）。ASD的目的在于快速编写软件，它集中于在工程进度中书写和递交应用程序的小功能块，而非在工程的最后递交一个大的应用程序。ASD强调人的团队性，即编程人员、管理人员、商业人员及最终用户共同负责软件开发。第14章计算机安全主要内容非授权使用恶意软件在线入侵社交安全备份安全工作区安全和人体工程学非授权使用加密与授权密码破解安全的密码生物识别设备加密简介没有加密的原始消息通常称明文，加密后的消息称为密文，即加密是将明文转化成密文的过程，而解密是将密文翻译回明文的过程。加密的两个要素是加密算法和密钥。加密算法如RSA、AES等是完全公开的，任何人都知道其加密和解密的方式，如恺撒加密就是简单的让字母按字母表顺序偏移特定位。加密的密钥则是绝对的隐藏，是保护信息的关键，只有经过授权的用户才能得知。加密简介据破解密钥的难度可将加密分为强加密和弱加密：弱加密如恺撒加密很容易破解——密钥是一个偏移量，只有几十种情况，通过分析字母出现的频率即可推断出，甚至一个一个去猜也不难。强加密则很难被破解，它使用的密钥通常很长，如128位二进制数或更多。强加密的密钥很难蛮力枚举破解，也没有什么规律可循，因此可以认为是极其安全的。随着计算机计算能力的日渐提升，强加密的密钥长度也在不断增加——增加一位二进制数，就可使破解时间翻倍。加密简介加密根据使用密钥的方式又可分为对称式和非对称式两种：对称式加密的双方采用共同密钥，即密钥既用来加密消息，也用来解密消息。对称式密钥有很大的安全隐患——授权一个用户就需要把密钥发给用户，而一旦发送途中密钥被截取，所有加密信息就不再安全。非对称式加密使用两个密钥，其一是公共密钥简称公钥，它是完全公开的，任何人都可以使用公钥加密信息，但无法使用公钥破译公钥加密的信息；另一个是私人密钥简称私钥，它是对外保密的，只有私钥才可破译公钥加密的信息，反之亦然。也就是说，使用私人密钥加密的信息只能使用公共密钥解密，使用公共密钥加密的信息只能使用私人密钥解密。非对称式加密很好地保证了密钥的安全性，是目前主流的加密方式，常用于文件加密及数字签名。密码破解密码破解的常用方式：字典破解，即尝试一些常用的字或词以破解密码。蛮力破解，即遍历所有字符的可能组合。嗅探，截取计算机网络中发送的信息以获取明文密码。网络钓鱼，通过电子邮件诱使用户泄露密码。虚假网站，通过与真实网站极其相似的虚假网站诱使用户自己输入密码。按键记录，通过植入木马记录用户的按键行为以获取密码。密码破解字典破解安全的密码使用高强度密码，即尽量使用长的字母、符号和数字的组合，字母还可以分大小写。不要使用生日、身份证号等容易被获取的信息作为密码。指定几个不同等级的密码。对不同重要性的账户用不同的密码。合理使用浏览器的记住密码功能。在公共计算机上，记住密码是不明智的行为了。合理使用密码管理器。密码管理器是一种应用软件，它可将用户所有账户的用户名和密码加密存储，用户只需要知道密码管理器的主密码即可。维护软件安全。使用安全套件，并定期对计算机进行杀毒。在网站中输入密码前，先确定网站的真伪，检查其网址是否与网站对应。生物识别设备生物识别设备通过将个人特征(如指纹)转换成数字代码,与验证物理或行为特征的计算机和移动设备所存储的数字代码进行比较来验证身份。常见的生物识别设备指纹读取器人脸识别系统语音验证系统签名验证系统虹膜识别系统恶意软件恶意软件威胁安全套件杀毒软件流氓软件与捆绑安装恶意软件计算机在运行时可能受到多种多样恶意软件的攻击：计算机病毒。计算机病毒是一种程序指令，它可以将自身附加到文件中，进行自我复制并传播到其他文件。蠕虫。蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。木马。木马不会自我繁殖，也不会感染其他文件。木马通常伪装成有用的软件，不知情的用户会下载并执行它们.僵尸网络。僵尸网络采用多种传播手段，将大量计算机感染僵尸程序，从而在控制者和被感染计算机之间形成一对多控制网络。间谍软件。间谍软件的入侵方式与木马类似，它能依附在看似正当的软件中，用户可能在无意间将间谍软件下载到计算机。恶意软件为避免受到恶意软件攻击，用户在使用计算机时需要注意：使用安全套件和杀毒软件。保证软件补丁的及时更新。不打开可疑的电子邮件附件。安装软件时先用安全套件对其进行扫描。不要访问不良网站。将文件扩展名显示出来。一些木马会命名为形如look.jpg.exe的格式，如果没有显示文件扩展名，用户可能会以为这是一个图片，但实际上这是一个可执行程序。安全套件安全套件通常集成了杀毒模块、防火墙模块和反间谍软件模块，可以保护计算机免受常见恶意软件的攻击。一些安全套件还提供了家长控制、WiFi侦测、文件恢复、网络问题修复等实用功能。一台计算机通常只能安装一种安全套件，如果安装了多种，它们会互相竞争对计算机的保护，反而不能有效保证计算机的安全与性能。杀毒软件杀毒软件是能够查找并清除病毒、蠕虫、木马和僵尸程序的实用软件。杀毒软件的原理是利用病毒的特征代码在计算机中查找恶意软件。杀毒软件将病毒特征代码存储在一个病毒定义数据库中，这个数据库需要及时更新以确保杀毒软件能检测出最新的恶意软件。当杀毒软件检测出恶意软件后，会将其放入隔离文件夹使不法分子无法访问，之后用户可通过杀毒软件对隔离文件夹中的文件进行尝试杀毒或确认删除。流氓软件与捆绑安装流氓软件是介于恶意软件和正规软件之间的软件。如果计算机中有流氓软件,可能会出现以下几种情况:用户上网时,会有窗口不断跳出;计算机浏览器主页被莫名更换;用户默认浏览器被莫名修改,等等。捆绑安装软件则是指用户在安装一个软件时,安装程序会在并未告知用户或并未在显著位置明确告知用户的情况下,静默安装其他软件。在线入侵入侵威胁保护端口NATVPN入侵威胁在线入侵是指黑客、罪犯或者其他未经授权的人通过因特网对数据或程序的访问。大部分在线入侵都始于恶意软件。获取对因特网中计算机的未经授权访问的常用手段是查找计算机打开的端口。端口是计算机的虚拟接口，因特网服务都是通过端口进行的，如HTTP请求使用的是80端口，FTP通常为21端口。不法分子可以使用端口扫描软件快速扫描互联网中的计算机端口，一旦发现有打开的且易受入侵的端口，就有可能发动攻击。保护端口可以通过如下方式来保护端口，使得其不会被攻击，或即使被攻击，也不会被攻破：在不使用计算机的时候将其关闭。需要注意的是，计算机休眠时，端口仍在工作，因此休眠计算机不能有效防止攻击。及时更新操作系统及软件补丁。使用防火墙，防火墙是用来过滤计算机和因特网之间数据的硬件和软件的结合，它可以阻止未经授权的入侵或来自于可疑IP地址的活动。关闭不必要的共享。保护端口通过在线端口扫描工具检查本机的端口情况保护端口通过netstat检测本机端口情况保护端口防火墙NAT除了采用保护端口的措施外，路由器也可以有效地保护计算机使其不受入侵。路由器采用了NAT（NetworkAddressTranslation，网络地址转换）技术，可以将局域网内用户设备屏蔽起来。NAT的原理类似于公司中的接线员，外部的电话统一打到接线员，再由接线员转接到对应部门。在路由器网络中，外部数据只可根据可路由IP地址路由到路由器，再由路由器负责转发到具体用户。NAT路由器不存储数据，不怕被攻击，因此可以保护局域网内的设备。局域网中的所以设备公用一个可路由IP地址，路由器相当于将局域网中的设备屏蔽了起来。处于同一局域网内的设备可以通过专用IP地址找到彼此，但处于不同局域网中的设备就不行了——需要借助可路由IP地址才能建立连接。NAT路由器NATVPNVPN（VirtualPrivateNetwork，虚拟专用网络）是一种在公用网络上建立的专用网络，它采用加密通讯，可以使授权用户在远程访问到企业、组织或学校内部网的内容。由于VPN会对数据进行加密，因此可以认为VPN是安全的。社交安全Cookies利用垃圾邮件网络钓鱼假冒网站Cookies利用Cookies能够为用户上网带来方便，但也有一些Cookies可能会侵害用户的隐私：广告服务Cookies。当用户点击网站上的广告时，广告提供商可能会生成广告服务Cookies，跟踪用户在广告站点的活动。FlashCookie。和Web上的Cookies类似，FlashCookie记录用户在访问Flash网页的时候保留的信息。FlashCookie的容量更大，没有默认的过期时间，且很难找到其存储地点，因此其风险性也很大。为了避免Cookies侵害隐私，用户可以禁用Cookies、定期删除Cookies、调整浏览器设置或使用实用工具管理Cookies。垃圾邮件用户的电子邮件账户可能经常会收到各种各样的垃圾邮件——推销、贷款、广告或是诈骗。较大的电子邮件服务提供商都提供了邮件过滤的功能，可以滤掉大部分垃圾邮件）；用户也可以使用电子邮件客户端提供的垃圾邮件过滤功能。但可能仍有少数垃圾邮件未被滤掉，这时用户就需要提高警惕了——不要点击垃圾邮件中的链接，也不要回复邮件。垃圾邮件高级隐私设置垃圾邮件用户在防范垃圾邮件的同时，自己最好也不要发送垃圾邮件或疑似垃圾邮件。一些电子邮件服务提供商会对疑似发生垃圾邮件的账户进行封禁处理。网络钓鱼网络钓鱼是基于电子邮件的诈骗，诈骗者可能会伪称为银行、网上商店或ISP等，诱使用户回复邮件或在其提供的链接中输入账户和密码。当遇到这种邮件而不能分辨真伪时，用户可以拨打对应企业的客服电话，或进入其官网查看，而千万不要拨打邮件中提供的电话或点击邮件中的链接。假冒网站假冒网站是和正规网站极其相似的用于诈骗的网站，用户可能在无意间就将账户和密码输入到了假冒网站中。避免受到假冒网站的危害，首先要尽量规避进入假冒网站的方式——查看邮件时，不点击不能确定身份的发件方提供的链接；网络聊天时，不轻易相信对方提供的链接；Web浏览时，不点击警示性的广告，等等。一旦怀疑进入了假冒网站，最直接的辨别方式就是根据网址。假冒网站的网址通常和正规网站的网址很相似，但只要认真辨别，还是能发现区别的。备份安全备份基础知识文件备份同步Windows操作系统备份裸机还原与磁盘镜像平板电脑和智能手机备份备份安全我们无法永远阻止突发事件的发生：硬盘会有使用寿命，计算机可能被盗或中病毒。这时如果有备份，就可将数据还原；如果没有及时备份，数据就很有可能就永久丢失掉了。备份的频率取决于数据的重要性和变化性。不常用的数据只需每个月备份一次，经常使用的数据可以每周备份一次。备份也需要注意安全性，即不会被不法者偷走，也不会发生原文件和备份文件同时损坏的情况。以下介绍一些常用的备份手段：文件备份最简单的备份方法就是直接拷贝文件到备份载体上，需要备份的时候再拷贝回来。可以考虑对以下文件进行定期备份：用户制作的文档、图像、音频、视频等数据文件。这些文件是唯一的，且很难再现。电子邮件。常用软件的验证码、密钥或激活码，以备重新激活时使用。一些不常用账户的账号和密码。同步同步是指对两个设备的文件内容进行比较，并使其相同。用户可以利用同步功能进行备份，即将原设备数据同步到备份设备上，需要还原时，再将备份设备数据同步到原设备。最常用的同步软件是MacOSX中的TimeMachine，它会每小时同步计算机存储设备中的所有文件到备份介质上。当用户需要时，可以还原特定时间点的特定文件，甚至还原整个系统Windows操作系统备份Windows系统也提供了文件备份软件，用户可以使用文件备份软件或第三方提供的文件备份实用程序对需要的文件进行备份，备份软件会定期将所选文件压缩后放入备份介质中。备份软件需要在操作系统上运行，而如果操作系统不能正常运行（如硬盘故障），可以先采用如下方式修复，再进行备份还原。启动盘。启动盘是存储有操作系统文件的移动存储介质，如光盘、U盘，可以通过启动盘来启动计算机，并修复或重装操作系统。恢复盘。恢复盘包含了计算机出厂时的数据，使用恢复盘可以将计算机恢复到出厂时的默认状态。备份的分类完全备份，即为所有备份文件创建一份新的副本。差异备份，只备份在上次完全备份后添加或修改过的文件。当还原文件时，首先还原完全备份，再还原最近的差异备份。增量备份，只备份在上次完全备份或增量备份后添加或修改过的文件。当还原文件时，首先还原完全备份，再按时间顺序从先到后还原增量备份。可以理解为，